TLS 设置

自 v2.1.7 起可用

在 Rancher v2.1.7 中,默认 TLS 配置已更改为仅接受TLS 1.2 和安全 TLS 密码套件,不支持TLS 1.3 和 TLS 1.3 专用密码套件。

配置 TLS 设置

可通过将环境变量传递到 Rancher Server 容器来启用和配置审计日志。请参阅以下内容以启用安装。

TLS 环境变量参数说明

参数描述默认值可用选项
CATTLE_TLS_MIN_VERSION最低 TLS 版本1.21.0, 1.1, 1.2
CATTLE_TLS_CIPHERS允许的 TLS 密码套件TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
请参阅 Golang tls 常量

旧版配置

如果您需要按照 Rancher v2.1.7 之前的方式配置 TLS,请使用以下设置:

参数旧版的值
CATTLE_TLS_MIN_VERSION1.0
CATTLE_TLS_CIPHERSTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA
最后由 yzeng25更新 于